PPAPとは？請求書をPPAPで送る危険性と脱PPAPの対策法を解説

最終更新日:2024年10月31日

請求書をPPAP形式で送っていませんか？PPAPはメール送受信時のセキュリティ対策として主流でしたが、現在はその脆弱性が明らかになっています。2020年に政府がPPAP廃止を表明したことをきっかけに企業間では脱PPAPが広がっています。しかし、その危険性を知らずに、習慣で使用し続けている人も少なくありません。
そこで本記事では、押さえておきたいPPAPの基礎知識と、請求書をPPAPで送る危険性、さらに具体的な解決策を解説します。

目次

• PPAPとは？定番のセキュリティ対策は隙だらけだった
• PPAPとは？
• なぜ定番に？　PPAPが普及した背景
• よく耳にする「PPAP問題」「脱PPAP」とは？
• PPAP廃止への動き　政府が「脱PPAP」を発表
• PPAPの危険性とデメリット
• デメリット①　メールの内容の漏洩のリスク
• デメリット②　マルウェア感染のリスク
• デメリット③　ZIPパスワードが解析されやすい
• デメリット④　誤送信のリスク
• デメリット⑤　送受信双方の手間が増える
• 脱PPAPのメリット
• メリット①　情報セキュリティの強化
• メリット②　2度手間をなくし、業務効率化が図れる
• メリット③　取引先への信用の向上
• 脱PPAPのための代替手段
• PPAPの間違った代替策
• 請求書のPDFをメールで送る場合の問題点、課題
• 請求書データの流出のリスク
• 発行時の確認の手間
• 受取側は手間も時間もかかる
• 請求書で脱PPAPする方法
• 脱PPAPに最適なDtoD型とは？
• DtoD型のメリット
• 脱PPAPし、請求書を簡単＆安全に送る方法とは？
• よくあるご質問

PPAPとは？定番のセキュリティ対策は隙だらけだった

PPAPとは？

PPAPとは、最初にパスワード付きのZIPファイルを送り、別のメールでZIPファイルを解凍するパスワードを送るという手法のことを言います。メールで重要なファイルを外部に送るとき、セキュリティ対策は欠かせません。送受信の際に内容が漏洩したり、ウイルスに感染したりする危険があるからです。PPAPは、そのセキュリティ対策のひとつで、広く企業間で採用されてきました。

PPAPの語源は、次の頭文字です。

（P）パスワード付きのZIPファイルをメールに添付して送る
（P）ファイルを解凍するためのパスワードを送る
（A）暗号化
（P）プロトコル

なぜ定番に？　PPAPが普及した背景

PPAPが普及したのは、2001年に総務省が策定した「地方公共団体における情報セキュリティポリシーに関するガイドライン」だといわれています。その中の「送信時に暗号化する」という部分だけがフォーカスされ、有力なセキュリティ対策として広まります。実はパスワードは「電子メールで送信せずに電話などの別手段を用いて伝達すること」という注釈がありましたが、ここは見過ごされてしまったのです。以来、導入や運用のしやすさもあり、実に20年近くもセキュリティ対策として定着してきました。

※参考）地方公共団体における情報セキュリティポリシーに関するガイドライン（令和4年3月発表）

よく耳にする「PPAP問題」「脱PPAP」とは？

「脱PPAP」とはファイルの送受信にセキュリティが脆弱なPPAPを使わないようにする取り組みのことです。近年耳にすることも増えたのではないでしょうか？　注目が集まる背景には、コロナ禍をきっかけにPDFでのやり取りが急増したことが挙げられます。請求書などの重要書類をメールで送ることに対して、改めてその安全性の強化が求められているのです。

PPAP廃止への動き　政府が「脱PPAP」を発表

2020年11月平井卓也元デジタル改革担当大臣がPPAPの廃止方針を表明しました。同大臣はその理由を「ZIPファイル送付と同じ経路でパスワードを自動で送る方式は、セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではない」と述べます。これをきっかけに、NTTデータや日立製作所など大企業が続々と廃止を表明し、企業間で脱PPAPが急速に拡大しました。

※参考）内閣府　平井内閣府特命担当大臣記者会見要旨 令和2年11月24日

PPAPの危険性とデメリット

では、PPAPの危険性やデメリットはどんなことがあるのでしょう。ここからはPPAPの危険性とデメリットを5つ紹介していきます。

デメリット①　メールの内容の漏洩のリスク

ZIPファイルとパスワードを別のメールで送ったとしても、同じ経路で送っているため漏洩する可能性があります。なぜなら、第三者が１通目のZIPファイルのメールを盗み見した場合、２通目のパスワードのメールを見ることは容易だからです。また、2通ともメールの宛先を間違えた場合、内容は第三者に筒抜けになってしまいます。

デメリット②　マルウェア感染のリスク

ウイルス対策ソフトは、パスワード付きのZIPファイルをすり抜けてしまうものがあるため、マルウェアを検知できない可能性があります。マルウェアに感染すると、情報流出や情報改ざん、デバイスが乗っ取られるなどのリスクがあります。自社のみならず、取引先にも迷惑をかけてしまう危険性もあるのです。

デメリット③　ZIPパスワードが解析されやすい

ZIPファイルの暗号方式のひとつであるZipCryptoはWindowsの標準機能で扱えるため、広く採用されてきました。しかし、ZipCrypto方式はセキュリティ強度が脆弱です。解析ツールを使えばパスワードは容易に解析できてしまうのです。そのため、悪意のある第三者にメールが渡った場合、暗号化はあまり意味をなさず、ファイルの中身を盗み見され、情報を流出されてしまう危険性があります。

デメリット④　誤送信のリスク

ヒューマンエラーによるメールの誤送信の可能性も避けられません。請求書など、複数の取引先にメールを送る場合、そのリスクは高まるでしょう。ファイルとパスワードを２段階に分けてメール送付していたとしても、その２通とも同じ相手に誤送信する可能性は高く、その場合、暗号化の意味をなしません。

デメリット⑤　送受信双方の手間が増える

メールを２段階で送るため、送信者、受信者双方ともに手間が発生します。まず、送信者は送る情報をZIPファイルにし、パスワードを暗号化して送信したうえで、作成したパスワードを送らなければなりません。一方受信者は、ZIPファイルとパスワードの２通のメールを確認し、ZIPファイルを解凍する手間が生じます。大量に対応しなければならない場合、かかる手間や時間は膨大になり業務を圧迫することになります。

脱PPAPのメリット

前述のPPAPのリスクを回避するためにも、脱PPAP対策は早期に着手する必要があります。また、脱PPAPした際のメリットは業務改善に大きく寄与します。

メリット①　情報セキュリティの強化

PPAPはセキュリティ対策として脆弱であるため、情報の流出やマルウェアに感染するリスクがあります。PPAPに代わるほかの強力なセキュリティ対策を採用し、脱PPAPを図ることで、メールでのファイルの送受信を安全に安心して行うことができます。

メリット②　2度手間をなくし、業務効率化が図れる

PPAPでは送信者・受信者ともに２度のメールの送信・確認といった看過できない手間が発生します。脱PPAPができれば、そうした手間や時間を削減し、業務効率化を図ることができます。

メリット③　取引先への信用の向上

PPAPでメールを送受信している限り、マルウェアのリスクが伴います。マルウェアに感染したファイルをPPAPでメール送信した場合、メールを受信した取引先側に感染が拡大する可能性があります。そのため、PPAPを利用していると「セキュリティに対する認識が甘い」などと不信感を持たれる可能性があります。脱PPAPすることは最新のセキュリティ対策をしていることの証になり、取引先の信用を得ることにつながります。

脱PPAPのための代替手段

脱PPAPをするためには、これまでのPPAPを使わず別のセキュリティ対策を取らなければなりません。代表的な代替手段7選を紹介します。

1 クラウドストレージの利用

クラウドストレージとはインターネット上にファイルを保管できるサービスのことです。ファイルの保管場所のURLを共有することで閲覧・更新が可能になります。アクセス権限を制限することで外部とのデータ共有の際のセキュリティを担保します。

2 ファイル転送サービスの利用

ファイルをWebサイト上にアップロードし、ファイルを送るサービスです。生成されるURLとパスワードをメールで相手に送り共有します。

3 S/MIMEでファイル送信する

S/MIME（Secure / Multipurpose Internet Mail Extensions）とは、暗号化方式のひとつで、電子証明書を用いることで送信者はメールを暗号化し、受信者は電子署名により解読できる仕組みで、フィッシング詐欺を防ぎます。

PPAPの間違った代替策

PPAPの代替策には間違ったものもあります。脱PPAPを急ぐあまり、間違った方法を採用しない気をつけましょう。PPAPの間違った代替策とは、例えば以下の方法です。

・ファイルを暗号化しないで送る

ZIPファイルはマルウェア感染のリスクがあるため、暗号化せずにファイルをそのまま送ろうと考える人もいるかもしれません。しかし、暗号化せずに送ることは第三者に傍受されるリスクが増すだけです。

・作成したダウンロードリンクにアクセス制限やパスワードがかかっていない

クラウドストレージやファイル転送サービスで作成したダウンロードリンクを共有することは有効ですが、そこにパスワードやアクセス制限をかけずにメールで送信してしまっては、セキュリティが弱まってしまいます。第三者にメールを盗み見されてしまえば、容易にファイルにアクセスできてしまうからです。

・別の通信経路でファイルとパスワードを送信する

本来のガイドラインのように、パスワード設定したZIPファイルをメールで送信し、パスワードは電話やSMS、チャットツールなど別の通信経路で送ることで、第三者に傍受されるリスクを下げることができます。ただし、毎回パスワードを電話等で連絡するのは受け取り側の迷惑となりますし、業務効率も悪いです。現実的な代替策とは言えないでしょう。

請求書のPDFをメールで送る場合の問題点、課題

近年、請求書をPDFで送る企業が増えています。紙からPDFにすることで郵送費の削減、請求業務の効率化などのメリットがあるからです。一方で、問題点や課題もあります。ここでは請求書のPDFをメールで送る場合の３つの問題点、課題を説明します。

請求書データの流出のリスク

請求書には、取引内容、金額、口座番号などの重要な情報が記載されています。これらの情報が流出してしまったら、自社のみならず、取引先にも損害を与え信頼性が揺らぐことになりかねません。

流出のリスクが高いのがやはり送受信時です。請求書をPDFで送る場合、手軽な方法として、メールに添付し、セキュリティ対策はPPAPを採用することが少なくありませんでした。先述したように、PPAPはセキュリティ対策として脆弱であることがわかっています。また、人為的な誤送信の可能性もゼロにはできません。

発行時の確認の手間

PDFを発行する際、人為的なミスは情報流出や取引先の信頼性の損失につながります。大量の請求書をまとめて送る月末などには、誤送信が発生しやすくなります。そのため、ミスのないよう以下の項目を、二重、三重にチェックする必要があります。

• ・メールアドレスは正しいか
• ・担当者に変更はないか
• ・メールアドレスの送信先と請求書の送付先が同じか

また、PPAPをはじめ、送付の際のセキュリティのためには、パスワードを設定し別送するなど一手間をかける必要があります。

受取側は手間も時間もかかる

PDFで請求書を受け取る場合、入力をはじめ以下のような手間や時間がかかります。たとえば、手作業の必要性から、ヒューマンエラーによるミスが発生する可能性も高く、目視による確認などの二次作業が経理業務を圧迫する要因ともなっています。

受取側のデメリットは以下のようなものがあります。

• ・会計システムへ請求書の内容を入力する手間や、転記ミスのリスクがある
• ・AI-OCR利用の場合、スキャンの手間とに時間がかかり、その後の目視での確認が必要になる
• ・スキャン後も１通１通を人の目で確認しなければならず、手動での修正が必要な場合もある
• ・電帳法対応のために、電子帳簿保存法に則った方法でフォルダ管理をしなければならない
• ・請求書に修正があった場合、再度送ってもらう必要がある
• ・PPAPで受け取った場合、ZIPファイルとパスワードの２通のメールを確認する必要があり、二度手間になる

請求書で脱PPAPする方法

ここまでPPAPの危険性と、請求書をPDFで送る問題点について解説しました。ここからは請求書を簡単に安全に送受信できる方法をご紹介します。

脱PPAPに最適なDtoD型とは？

請求書を電子化する方法は、PDF型とデジタルデータで送受信する方法の2通りがあります。ここでは、より簡単に安全にデータを送受信できるデジタルデータで送受信する方法を紹介します。送信者と受信者双方がデータでやり取りするもので、DtoD（データtoデータ）とも呼ばれています。システムを利用することで、クラウド上で保管・管理ができ、高レベルのセキュリティが保証されます。

DtoD型のメリット

DtoD型のメリットは、開封や入力などの非効率な作業を廃し、バックオフィスの業務効率化を大きく前進させることです。大別すると以下の６点が挙げられます。

・セキュリティを強化できる

メールを介さず、システム上で送受信が完結します。DtoD型システムの多くは、不正アクセス防止として、通信の暗号化、ネットワーク機器による対策、データの暗号化など、二重三重にセキュリティ対策が取られています。

・受取側が楽になる

デジタルデータで受け取るため、PPAPでは必要だったパスワードの確認や復号化の二度手間がなくなります。また、システム連携がそのままできるDtoD型は、入力作業が不要になり、転記ミスや確認のための作業時間が必要なくなることもポイントです。一気通貫のデータ活用により、社内承認などの付帯業務がデジタル化され、バックオフィスの業務効率を劇的に上げます。

・他システムとの連携がスムーズになる

発行側は販売管理システムなどと連携し、請求データを取り込み一括処理することができます。受取側は、学習機能により自動仕訳して取り込むことができ、データは他システムに活用できます。

・電子帳簿保存法への対応がスムーズになる

PDFの場合、電子帳簿保存法に則り保存するための手間が発生しますが、電子帳簿保存法に対応したシステムを導入すれば、自動で法対応されます。

・クラウド上で保存・管理ができる

企業間でやり取りするファイルをクラウド上で保存・保管できることで、どこからでもアクセスできスピーディなやり取りが可能になります。また保管コストが不要になります。

・経理・管理業務が効率化できる

請求業務は請求書の発行・受取だけでなく、取引先とのやり取り、証跡管理や社内承認、入金・支払データの情報連携など付帯業務が発生します。データでやり取りすることで、そうしたフローをワンストップにつなぎ、時間の削減と人的ミスを防ぎます。

脱PPAPし、請求書を簡単＆安全に送る方法とは？

請求書の脱PPAPは喫緊の課題です。しかし間違った対策を取ってしまわないか不安な方も多いでしょう。そこで請求書を簡単＆安全に送る方法としておすすめなのが、DtoD型のシステム導入です。万全のセキュリティ対策が施されているため、システムを導入と同時に自動的にセキュリティ対策を取ることができるからです。

『BtoBプラットフォーム 請求書』はDtoD型の電子請求書（WEB請求書）で、すでに100万社以上の企業がご利用中であるため、取引先にも導入の承認を得やすく、スムーズに請求書の電子化をスタートしやすいシステムです。システム上で送受信が完結するため、メールの際に発生していた１件１件パスワードを確認して開くような手間がなくなります。真のDXを実現するシステムとして、今後も利用が拡大することは間違いありません。
請求書を簡単＆安全に送受信しつつ、業務改善を図る方法として、ぜひ導入をご検討ください。

よくある質問 Q1.PPAPのまま送付していてはだめですか？ PPAPはセキュリティが脆弱であるため、ファイルの中身が情報流出する危険性やマルウェア感染のリスクがあります。何より送信先である取引先に迷惑をかけてからでは取り返しがつきません。また、人手不足の時代において業務効率化の観点からも、脱PPAPは避けられないでしょう。 Q2.取引先から送られてくるPPAPはどうすればいいですか？ PPAPに対する方針を定め、代替手段で送ってもらえないか提案してみましょう。大企業では、PPAP廃止を公表し、一律でブロックする対策を取っているところも少なくありません。しかし、今もPPAPでファイル送付している企業は多く、脱PPAPするのは簡単ではないため、取引先からの賛同を得ながらコツコツ進めるのがいいでしょう。